Microsoft’un IoT alanındaki güvenlik araştırmacıları, kısa bir süre önce Netgear, Huawei ve ZTE gibi bilinen şirketler tarafından üretilen ağ geçidi ekipmanlarının Mozi botnet zararlı yazılımının yenilenmiş bir sürümü tarafından hedef alınmaya başladığını keşfettiler. Araştırmacılar, yapılan saldırıların genel olarak değil aksine hedef odaklı gidilerek her ağ geçidinin belirli mimarisine özel olarak uyarlanmış kalıcı teknikler kullanılarak gerçekleştirildiğini belirtiyorlar.
Ağ geçitleri, kurumsal ağlara ilk erişim noktaları olarak ideal olduklarından, tehdit aktörlerini için özellikle cazip bir hedeftir. Tehdit aktörleri, Shodan gibi tarama araçları aracılığıyla internete açık savunmasız cihazları arayabilir, keşif gerçekleştirebilir ve ardından geliştirdikleri yöntemlerle saldırıda bulunabilirler.
IoT ve routers cihazlarını hedefleyen bir botnet olan Mozinin yeni sürümü, kullanıcıları kötü amaçlı sitelere yönlendirmek için kötüye kullanılabilecek bir özellik DNS sahtekarlığı ve HTTP oturumu ele geçirme gibi tekniklerle virüs bulaşmış sistemlerin web trafiklerini değiştirebiliyorlar. Bununla birlikte Mozi’nin yeni sürümüyle birlikte bir cihazın yeniden başlatılması sırasında zararlı yazılımın silinmesini önlemelerine olanak tanıdığı ve diğer IoT kötü amaçlı yazılım türlerinin sahip olmadığı bir özellik olan virüslü cihazlarda kalma sürelerini artırmaya yönelik özelliklerinin yer aldığı belirtiliyor.
Microsoft, Mozi botnet operatörlerinin şu anda savunmasız cihazlara erişmek için zayıf Telnet şifrelerinden ve neredeyse bir düzine yama uygulanmamış güvenlik açığından yararlandığını belirtti. Ancak Mozi botnet’in hangi güvenlik açıklarından yararlandığı veya Mozi’nin saldırdığı görülen Netgear, Huawei ve ZTE ağ geçidi modelleri hakkında herhangi bir ayrıntı vermedi.
